Art. 20 Gestion de l’identité | RTS on ICT risk management framework | DORA

1. Dans le cadre de leur contrôle des droits de gestion des accès, les entités financières élaborent, documentent et mettent en œuvre des politiques et procédures de gestion de l’identité qui garantissent l’identification et l’authentification uniques des personnes physiques et des systèmes ayant accès aux informations des entités financières afin de permettre l’attribution de droits d’accès aux utilisateurs conformément à l’article 21.
1. Les politiques et procédures de gestion de l’identité visées au paragraphe 1 comportent l’ensemble des éléments suivants:
  1. sans préjudice de l’article 21, premier alinéa, point c), une identité unique correspondant à un compte d’utilisateur unique est attribuée à chaque membre du personnel de l’entité financière ou du personnel des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui ont accès aux actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; de l’entité financière;
  2. un processus de gestion du cycle de vie pour les identités et les comptes régissant la création, la modification, le réexamen et la mise à jour, la désactivation temporaire et la clôture de tous les comptes.
2. Aux fins du point a), les entités financières tiennent des registres de toutes les attributions d’identité. Ces registres sont conservés à la suite d’une réorganisation de l’entité financière ou après la fin d’une relation contractuelle, sans préjudice des exigences en matière de conservation prévues par le droit de l’Union et le droit national applicables.
3. Aux fins du point b), les entités financières déploient, lorsque cela est possible et approprié, des solutions automatisées pour le processus de gestion de l’identité tout au long du cycle de vie.